Yapay zeka çağında Türkiye ve güvenli siber gelecek

Milli İstihbarat Akademisi Başkanı Prof. Dr. Talha Köse, yapay zeka çağında Türkiye’nin siber güvenlik yaklaşımını ve stratejik önceliklerini AA Analiz için kaleme aldı. *** Günümüzde siber güvenlik, kamu hizmetlerinin sürekliliği, kritik altyapıların dayanıklılığı, veri güvenliği, kurumsal karar kalitesi, toplumsal güven ve stratejik özerklik başlıklarını birlikte içeren çok boyutlu bir güvenlik alanına dönüşmüştür. Milli İstihbarat Akademisi tarafından yayımlanan “Yapay Zeka Çağında Siber Güvenlik ve Türkiye’nin Stratejik Öncelikleri” başlıklı raporun temel çıkış noktası da budur [1]. Rapor, yapay zekayı yeni bir teknoloji başlığının ötesinde; saldırı ölçeğini, savunma hızını, karar süreçlerini, tedarik zincirlerini ve düzenleyici ihtiyaçları aynı anda dönüştüren stratejik bir güç çarpanı olarak değerlendirmektedir. Yapay zekanın siber alandaki en önemli etkisi, tehditlerin niteliğini ve ölçeğini aynı anda değiştirmesidir. Geleneksel siber güvenlik yaklaşımı daha çok cihazların, uygulamaların ve veri tabanlarının korunmasına odaklanıyordu. Oysa yapay zeka destekli sistemlerde veri setleri, modeller, eğitim süreçleri, istemler, eklentiler, ajan tabanlı uygulamalar, bulut altyapıları ve karar destek mekanizmaları da korunması gereken alanlardır. Bu durum, güvenliği teknik ekiplerin meselesi olmaktan çıkararak hukuk, yönetişim, denetim, tedarik, insan kaynağı ve stratejik planlama alanlarıyla doğrudan ilişkilendirmektedir. Yapay zeka destekli siber tehditlerin en görünür boyutlarından biri, saldırıların daha hızlı, daha düşük maliyetli ve daha ikna edici hale gelmesidir. Akıllı oltalama, derin sahte ses ve görüntü üretimi, sentetik kimlikler, sahte yönetici talimatları ve otomatik keşif faaliyetleri, tehdit aktörlerinin kapasitesini artırmaktadır. Bunun neticesinde birey ve toplumların gerçeklik algısı, devletlere, kurumlara ve hatta birbirlerine olan güvenleri sarsıcı bir şekilde aşınabilir. Söz konusu aşınma bireysel, toplumsal ve kurumsal kırılganlıkları artırabilir. Ayrıca bu tehditler, bireysel kullanıcıların yanında finansal sistemlerden kamu kurumlarına, savunma tedarik zincirlerinden enerji ve haberleşme altyapılarına kadar geniş bir hedef yelpazesine sahiptir. Sonuç olarak yapay zeka çağında siber güvenlik, doğrudan toplumsal güven ve kurumsal meşruiyet meselesi haline gelmiştir. Bu noktada büyük dil modelleri ve ajan tabanlı yapay zeka sistemleri de yeni bir risk alanı oluşturmaktadır. Söz konusu sistemler, kamu hizmetlerinde, kurumsal iş akışlarında ve özel sektör süreçlerinde verimlilik sağlayabilir ancak hangi verinin modele girdiği, hangi çıktının kurumsal karara dönüştüğü, hangi sistemlerin dış bulut servislerine bağlandığı ve hangi işlemlerin insan denetimi olmadan yürütüldüğü açık biçimde tanımlanmazsa sağlanan verimlilik, yönetişim açığına dönüşebilir. Bu nedenle istem enjeksiyonu, kritik ve hassas bilgi ifşası, veri zehirleme, model çıkarımı, aşırı yetki ve modele aşırı güven gibi riskler, yalnızca teknik güvenlik açıkları olarak değil hesap verebilirliği ve karar kalitesini doğrudan etkileyen yönetişim sorunları olarak da ele alınmalıdır. Tüm bunlara ek olarak söz konusu modellerin ahlaki zeminleri, hangi değer ve yaklaşımları önceliklendirdikleri konusu da tartışmalıdır. Bundan dolayı özellikle hassas konularda ne gibi risklerle karşı karşıya olunabileceği tam olarak öngörülememektedir. Türkiye açısından ise temel öncelik, yapay zeka ve siber güvenlik alanında dağınık uygulamaları ortak bir risk dili, ortak standartlar ve güçlü koordinasyon mekanizmalarıyla bütünleştirmektir. Merkezi koordinasyon ihtiyacı, herhangi bir alanı sınırsız biçimde denetleme arzusundan ziyade, karmaşıklaşan tehdit ortamında sorumlulukların, olay paylaşımının, denetim beklentilerinin ve müdahale süreçlerinin netleştirilmesi ihtiyacından kaynaklanmaktadır. Bu ayrımın altı özellikle çizilmelidir. Siber güvenlikte güçlü koordinasyon, hukuk devleti ilkeleriyle uyumlu biçimde tasarlandığında kalıcı ve meşru bir güvenlik kapasitesi üretir. Bu kapasitenin dayanağı ise ölçülülük, hesap verebilirlik, yetkilerin net tanımlanması ve etkili denetim mekanizmalarıdır. Güvenlik politikalarının başarısı da tehditleri bertaraf etme gücünün yanında hukuki öngörülebilirliği ve toplumsal güveni güçlendirme kabiliyetiyle değerlendirilmelidir. Bu nedenle siber güvenlik tartışmaları, özgürlük ile güvenliği karşı karşıya getiren dar bir çerçeveye sıkıştırılmamalıdır. Bu zıtlaşma görüntüsü, siber güvenlik konusunda etkili adımlar atmanın önünü tıkayabilir veya toplumla eş güdümü zayıflatabilir. Türkiye’nin ihtiyacı olan yaklaşım, kritik altyapıları koruyan, kamu hizmetlerinin sürekliliğini sağlayan, vatandaş verisini güvence altına alan, bunu yaparken de özel sektörün inovasyon kapasitesini destekleyen ve temel hakları gözeten dengeli bir siber güvenlik mimarisidir. Zira yapay zeka çağında devlet kapasitesinin güçlenmesi, dijital alanın keyfi biçimde yönetilmesi anlamına gelmez. Aksine iyi tasarlanmış bir siber güvenlik mimarisi, görev tanımlarını netleştiren, denetim mekanizmalarını güçlendiren, veri işleme süreçlerini sınırlayan ve müdahale yetkilerini hukuki zemine oturtan bir çerçeve gerektirir. Bu bağlamda kamu kurumları, özel sektör, akademi ve sivil toplum arasında güvene dayalı bir işbirliği zemini kurulmalıdır. Kritik altyapı işletmecilerinin, teknoloji sağlayıcılarının, finansal kuruluşların ve kamu dijital hizmetlerinin aynı tehdit ekosisteminde yer aldığı unutulmamalıdır. Siber güvenlikte dayanıklılık, tüm ekosistemin ortak standartlar, uyumlu prosedürler ve koordineli hareket kabiliyetiyle mümkündür. Türkiye’nin olası hedefleri, üç zaman diliminde okunabilir. Kısa vadede kamu kurumları ve kritik sektörlerde yapay zeka envanteri çıkarılarak hangi sistemlerin hangi verilerle çalıştığı, hangi dış bağımlılıklara sahip olduğu ve hangi karar süreçlerine etki ettiği görünür hale getirilmelidir. Büyük dil modelleri ve ajan tabanlı sistemler için asgari güvenlik kuralları belirlenmelidir. Veri sınıflandırması, erişim yetkileri, kayıt tutma ve insan denetimi mekanizmaları, bu dönemin öncelikli başlıkları arasında yer almalıdır. Orta vadede kamu alımları, olay raporlama, tedarik güvenliği, model denetimi, üçüncü taraf bağımlılıklarının yönetimi ve sektörel dayanıklılık testleri kurumsallaştırılmalıdır. Siber olaylara müdahale ekiplerinin kapasitesi güçlendirilerek tehdit paylaşımı daha hızlı, güvenli ve ölçülebilir hale getirilmelidir. Kritik altyapılarda saldırıyı engellemenin ötesinde hizmet sürekliliğini sağlamaya odaklanan bir dayanıklılık yaklaşımı benimsenmelidir. Uzun vadede ise Türkiye, teknolojide dışa bağımlılığı yönetebilen, yerli test ve sertifikasyon kapasitesi geliştiren ve siber güvenlik ekosistemini kamu-özel sektör-akademi işbirliğiyle derinleştiren bir stratejik kapasite inşa etmelidir çünkü yapay zeka çağında dijital egemenlik, yalnızca yerli yazılım geliştirmekle mümkün değildir. Veri üzerinde denetim kurmak, modellerin güvenilirliğini sınamak, kritik servislerde sürekliliği sağlamak ve kriz anında dış bağımlılıkların doğurabileceği riskleri yönetebilmek de bu egemenliğin parçasıdır. Toplumun sahiplenmediği ve desteklemediği bir stratejinin başarılı olma şansı düşüktür. Türkiye’nin hedefi, tehditleri abartan ya da teknoloji kullanımını sınırlandıran bir yaklaşımdan ziyade, riskleri öngören, kurumsal kapasiteyi güçlendiren, insan denetimini merkeze alan, hukuki zemini sağlam ve toplumsal güveni önceleyen bir siber güvenlik ekosistemi kurmak olmalıdır. Yapay zeka çağında güçlü devlet kapasitesi, hukuki çerçevesi net biçimde tanımlanmış yetkiler, kurumsal koordinasyon, hesap verebilirlik ve stratejik özerklik ilkeleriyle desteklendiğinde gerçek anlamını bulur. [1] Milli İstihbarat Akademisi, “Yapay Zeka Çağında Siber Güvenlik ve Türkiye’nin Stratejik Öncelikleri,” Erişim Adresi: https://mia.edu.tr/uploads/f/yapay-zeka-aginda-siber-gvenlik-ve-trkiyenin-stratejik-ncelikleri_1.pdf, 2026. [Prof. Dr. Talha Köse, Milli İstihbarat Akademisi Başkanı'dır.] *Makalelerdeki fikirler yazarına aittir ve Anadolu Ajansının editoryal politikasını yansıtmayabilir. (Kaynak: AA)